بهترین شیوه های توسعه امن با Solidity

23 مارس 2023

با افزایش شهرت قراردادهای هوشمند، امنیت به جزء ضروری توسعه سالیدیتی (Solidity) تبدیل شده است. در این مقاله، شما می‌توانید نکات و بهترین شیوه‌ها برای نوشتن کد امن سالیدیتی را ارائه دهید، از جمله چگونگی جلوگیری از آسیب‌پذیری‌های رایج مانند حملات ری‌انترنسی، اینتیجر اور فلو و دسترسی غیرمجاز.

قراردادهای هوشمند روشی نوین در مورد قراردادها و توافقات ما هستند. این قراردادها اجرای خودکار و غیرقابل تغییر دارند که آن‌ها را برای کاربردهای مختلف از جمله امور مالی، بازی‌ها و مدیریت زنجیره تأمین، مناسب می‌کند. با افزایش محبوبیت قراردادهای هوشمند، نیاز به امنیت هم افزایش می‌یابد. سالیدیتی زبان برنامه‌نویسی پرطرفداری است که برای نوشتن قراردادهای هوشمند در بلاکچین اتریوم استفاده می‌شود. در این مقاله، ما به شما راهکارها و بهترین روش‌ها را برای نوشتن کد امن سالیدیتی ارائه خواهیم داد.

قبل از ورود به بهترین شیوه‌های نوشتن کد سالیدیتی امن، باید درکی از آسیب‌پذیری‌های متداولی که ممکن است بر قراردادهای هوشمند شما تأثیر بگذارند، داشته باشیم. این آسیب‌پذیری‌ها می‌توانند توسط مهاجمان برای سرقت اموال یا انجام اعمال مخرب مورد استفاده قرار گیرند. در ادامه تعدادی از مهمترین آسیب‌پذیری‌های سالیدیتی را بررسی خواهیم کرد:

حملات ری‌انترنسی

حملات ری‌انترنسی در حالتی اتفاق می‌افتد که یک قرارداد قبل از اتمام اجرای خود، قرارداد دیگری را فراخوانی می‌کند. این به حمله‌کننده اجازه می‌دهد که کد مخرب را به صورت تکراری اجرا کند و از مبالغ موجود در قرارداد کسب و کار کند. برای جلوگیری از حملات ری‌انترنسی، بهتر است از الگوی "بررسی‌ها، تأثیرات، تعاملات" استفاده کنید و از توابع "send" یا "transfer" خودداری کنید.

اینتیجر اور فلو/آندر فلو

سالیدیتی از اعداد صحیح با اندازه ثابت استفاده می‌کند که به این معنی است که اگر یک مقدار از حداکثر یا حداقل مجاز آن فراتر برود، به حد مجاز مخالف خود بازمی‌گردد. این می‌تواند رفتار غیرمنتظره‌ای را ایجاد کرده و به حمله‌کنندگان اجازه دهد که وضعیت قرارداد را تغییر دهند و یا مبالغ را سرقت کنند. برای جلوگیری از بالا‌جری/پایین‌جری اعداد صحیح، از توابع کتابخانه SafeMath استفاده کنید یا به صراحت شرایط اینتیجر اور فلو/آندر فلو را بررسی کنید.

دسترسی غیرمجاز

قراردادهای سالیدیتی به طور پیش‌فرض عمومی هستند، به این معنی که هر کسی می‌تواند با آن‌ها تعامل داشته باشد. با این حال، برخی توابع ممکن است نیاز به مجوزهای خاص یا کنترل دسترسی داشته باشند. دسترسی غیرمجاز می‌تواند منجر به تغییر قراردادها یا سرقت از منابع مالی شود. برای جلوگیری از دسترسی غیرمجاز، مکانیزم‌های کنترل دسترسی مانند مجوزهای مبتنی بر نقش یا وایت‌لیست کردن را پیاده‌سازی کنید.

اکنون که ما به برخی از آسیب‌پذیری‌های رایج سالیدیتی آشنا شده‌ایم، بیایید بهترین روش‌های نوشتن کد امن سالیدیتی بپردازیم.

اصل کمترین امتیاز را رعایت کنید

اصل کمترین امتیاز به معنای این است که یک قرارداد باید تنها دسترسی های لازم برای انجام وظایف مورد نظر خود را داشته باشد. این کار سطح حمله را کاهش می دهد و دسترسی غیرمجاز را جلوگیری می کند. مطمئن شوید که دسترسی و دیدپذیری توابع و داده ها را به حداقل لازم محدود می کنید.

استفاده از کتابخانه SafeMath

همانطور که در بخش قبل بحث شد، ممکن است اینتیجر اور فلو/آندر فلو باعث رفتار ناخواسته و آسیب‌پذیری شود. SafeMath یک کتابخانه است که توابعی را برای انجام عملیات حسابی با بررسی شرایط اور فلو/آندر فلو فراهم می‌کند. برای تمامی عملیات‌های حسابی از توابع SafeMath استفاده کنید..

اجتناب از فراخوانی‌های خارجی در کانستراکتورها

کانستراکتورها توابعی هستند که هنگام استقرار یک قرارداد اجرا می شوند. اجتناب از انجام فراخوانی های خارجی در کانستراکتورها به دلیل رفتار غیرمنتظره و حساسیت به حملات ری‌انترنسی توصیه می شود.

الگوی "چکس، افکتس، اینترکشنز" را به کار ببرید

الگوی "چکس، افکتس، اینترکشنز" یکی از بهترین شیوه ها برای جلوگیری از حملات ری‌انترنسی است. این بدان معناست که یک قرارداد باید در ابتدا همه بررسی ها را انجام دهد، سپس وضعیت را تغییر دهد و در نهایت با دیگر قراردادها تعامل داشته باشد.

پیاده سازی مکانیزم های کنترل دسترسی

همانطور که قبلا بحث شد، دسترسی غیرمجاز می تواند منجر به اختلاس سرمایه یا دزدیده شدن قرارداد شود. پیاده سازی مکانیزم های کنترل دسترسی مانند مجوزهای مبتنی بر نقش یا وایت‌لیست کردن برای جلوگیری از دسترسی غیرمجاز توصیه می شود.

تست و بررسی کد سالیدیتی شما برای اطمینان از امنیت آن و پیشگیری از آسیب‌پذیری‌ها ضروری است. در ادامه بهترین شیوه‌های تست و بررسی کد سالیدیتی شما بیان شده است:

استفاده از تست خودکار

تست خودکار می‌تواند به شما در شناسایی آسیب‌پذیری‌ها و اطمینان از صحت کارکرد کدتان کمک کند.

از فریم‌ورک‌های تست مانند ترافل (Truffle) یا هاردهت (Hardhat) برای نوشتن تست‌های خودکار برای کد سالیدیتی خود استفاده کنید.

انجام تست دستی

تست دستی می‌تواند به شما در شناسایی آسیب‌پذیری‌هایی که تست خودکار ممکن است از دست دهد، کمک کند. با استفاده از سناریو‌ها و ورودی‌های مختلف با کد سالیدیتی خود تعامل داشته و آن‌را تست کنید.

انجام بازبینی کد

بازبینی کد می‌تواند به شناسایی آسیب‌پذیری‌ها و بهبود کیفیت کلی کد سالیدیتی شما کمک کند. دیگر توسعه‌دهندگان را برای بازبینی کد شما دعوت کرده و بازخورد آن‌ها را دریافت کنید.

انجام بازرسی امنیتی

بازرسی امنیتی (Security Audit) می‌تواند به شناسایی آسیب‌پذیری‌هایی که در طول تست و بازبینی کد ممکن است از دست رفته باشند، کمک کند. یک بازرس امنیتی خارجی را برای انجام بازرسی امنیتی جامع از کد سالیدیتی خود استخدام کنید.

نتیجه‌گیری

در نتیجه، نوشتن کد سالیدیتی ایمن برای اطمینان از ایمنی و سلامتی قراردادهای هوشمند شما بسیار حائز اهمیت است. با رعایت بهترین روش‌ها مانند استفاده از توابع کتابخانه SafeMath، پیاده‌سازی مکانیزم کنترل دسترسی و رعایت الگوی "چکس، افکتس، اینترکشنز"، می‌توانید خطرات مانند حملات ری‌انترنسی، اینتیجر اور فلو و دسترسی غیر مجاز را کاهش دهید. همچنین، تست و بررسی امنیتی کد سالیدیتی شما برای شناسایی و پیشگیری از آسیب‌پذیری‌ها بسیار حیاتی است. با انجام این اقدامات، می‌توانید از ایمنی و قابلیت اطمینان کد سالیدیتی خود اطمینان حاصل کنید.